Ceea ce utilizează VLAN privat cât de mult au nevoie
Eu pentru mine nu pot decide, VLAN privat - o caracteristică utilă, care va fi utilizată în producție, sau este un al cincilea picior de vacă ca VTP?
Ceea ce am googled pe această temă:
Dar toate aceste argumente vreau să spun: „Duck nu este atât de grele aceste argumente? Cu toate acestea, nu este necesar să gard un sistem de neobișnuit ciudat cu VLAN privat? Băut toate dispozitivele pe diferite VLAN'am, și totuși va fi acceptabil. "
La urma urmei, VLAN privat, există dezavantaje. La un nivel minim, nu putem face pe porturile etherchannel în cazul în care VLAN privat emise. Și cum va funcționa tot felul de caracteristici în VLAN L2-privat? Unele STP, IGMP Snooping, etc. - Cisco nimic despre ea spune, și dintr-o dată vor exista erori din cauza VLAN privat «neobișnuit"?
În acest sens, aș dori să aud:
- Poate că știi exemple de utilizare VLAN privat? Ați folosit sau auzit de la cunoscuți.
- Poate ai aduce argumente „pentru“ și „contra“ utilizarea VLAN privat, pentru a înțelege, «VLAN privat - o caracteristică utilă, care va fi utilizată în producție, sau este un al cincilea picior de vacă ca VTP„?
Aici și acolo, Ivan Pepelnyak scrie că PVLAN aplicat cu succes în mici centre de date furnizori de găzduire, în cazul în care fiecare client este alocat un VM, și este necesar pentru a asigura izolarea între diferiți clienți VM.
. (În cazul în care clientul are nevoie de o soluție scalabilă, atunci există un virtualke nu face cu un număr mare de cereri pentru fiecare client este alocată o mulțime de ok interoperabilă virtuale - încărcare-balancers, servere de cache, servere web, servere de baze de date, precum și toate aceste virtualke, de asemenea, nevoie proteja unul față de celălalt. În acest caz, subrețele individuale L3 pentru diferite segmente de clienți, iptables sau firewall proprietare pe fiecare virtualke, VXLAN pentru L2-conectare (dacă este necesar).)
Furnizorii de rețele negrese PVLAN, desigur, de asemenea, poate fi folosit, dar știi o mulțime de furnizori cu Cisco în mansarde? Furnizorii de negrese cumpara switch-uri cel mai mic cost per port (furnizate în caietul de sarcini) pe bază. Și membrii de izolare pot fi furnizate într-un alt mod - de exemplu, folosind QinQ (un C-VLAN pentru fiecare port de utilizator, un S-VLAN pentru fiecare utilizator un comutator, terminare S-VLANs la router serviciu sabinterfeysah, utilizatorul verificării portului, la care acesta este conectat (opțiunea DHCP 82)). D-link'i este menținut la bang.
Multumesc pentru link-urile de pe Pepelnyaka! :) Cu toate acestea, nu este clar în cazul în care este logica? În cazul în care centrul nostru de date este mic, și este necesar să se izoleze VM nu este atât de mult unul de altul - avem suficient, și 4096 VLAN-uri, și puteți selecta fiecare lor / 30 de rețea (același lucru oferă o mai mare flexibilitate atunci când se deplasează VM de la un router la altul, dacă dintr-o dată este necesar). Oricum, Pepelnyaku cred că există un caz de utilizare pentru VLAN privat - singur server / VM una de alta pe L2 la datacenter. Da despre furnizorii de rețele de domiciliu nimeni nu a spus nimic. :) Pentru mine, nu înțeleg de ce există utilizatori izolați unul de altul? Este necesar? Dar asta este un alt subiect.
Manana, și anume doriți să vedeți pe router (orice acolo Dlink dir 300) vecin ar putea monta un atac folosind orice protocol pe L2 și de mai sus?
IMHO, este necesar să se uite la toate acestea mai larg. Este doar un mijloc suplimentar de izolație în L2, disponibile pe catalizator mai vechi. Precum și pe d-link-ul are un segment de trafic sau vlan_translation. Sau zuhelyah. Sau uni-port de switch-uri de pe ME.
Această tehnologie de bază ca literă a alfabetului. În unele cuvinte pot fi folosite, în unele nu este necesar.
În ce cazuri poate fi util - o chestiune separată. Posibilitatea de a izola clienții pot fi cuplate cu proxy-ARP - pentru a se evita interacțiunea dintre L2 și L3 impune traficul prin.
întrebare Duck a fost, de fapt, se aplică VLAN privat pe cineva în realitate sau nu? Ie Puteți citi despre capacitățile VLAN private, sa viseze despre scenariile de aplicare a acestora - și pot exista „capcane“, din cauza care, de fapt, nimeni nu va folosi. Iar VTP poate fi vizualizat „în general“: există atât de mult caracteristici interesante oferă VTP, eliminând corvoada de a crea VLAN! Eu pentru mine, subiectiv, a ajuns la concluzia - că VLAN privat, puteți încerca să utilizați atunci când aveți nevoie să adăugați o „securitate“ prin izolarea gazde pe L2 - în cazurile în care un plus de securitate nu poate face rău. Tip, servere sau DMZ VM pe ce izolate unele de altele. Ei bine, acest lucru pare a fi un număr mic de gazde, și switch-uri multiple; aparent script-ul cu o mare L2-topologie - nu pentru utilizarea VLAN privat.
Se aplică. Văzut cu un birou mare de IT, în cazul în care toate stațiile de lucru izolate. Cu ajutorul comunicării proxy ARP este posibilă la L3 după trecerea unui ACL router destul de complex, care definirea acolo unde este posibil. Acest lucru a fost făcut în scopul de a controla în continuare a rețelei și de a scăpa de boroadcast protecție suplimentară a virusului.